Los controles son importantes para proteger los sistemas de información de una variedad de peligros y asegurar su correcto funcionamiento. Existen controles de entrada, procesamiento, salida, equipo, programación y seguridad. También es necesario implementar un plan de recuperación ante desastres para mantener las operaciones críticas del negocio en caso de fallas del sistema.

1. Control

2. Si vale la pena procesar y transmitir la información, vale la pena procesarla y transmitirla correcta y eficientemente y protegerla contra una diversidad de peligros y abusos. Los controles aseguran la protección de los Sistemas de Información contra una variedad de peligros y abusos potenciales y en casos extremos aseguran la supervivencia de la organización

3. El centro de datos o sistema de información es un recurso importante y muy valioso para la organización. Desde que se está diseñando este centro de datos, se va estableciendo la garantía que este recurso funcionará como es debido, y que estará protegido contra el mal uso interno y externo.

4. Para lograr el manejo y el control efectivos de un sistema de información, es necesario diseñar e implementar un conjunto de procedimientos de control que ayuden a controlar los recursos, confiabilidad de las operaciones y la integridad general del sistema.

5. Control de Procesamiento. Controles de entrada : Las actividades de recopilación de datos representan un subsistema vital en las operaciones generales del sistema de información. Los controles de entrada se dividen en: verificación, diseño de formas, totales de control.

6. Verificación : Los documentos fuente formulados por un solo empleado los puede verificar otro empleado, con el fin de mejorar la exactitud. Diseño de formas : Cuando se requiere algún documento fuente para recopilar datos,

7. Totales de control : Para reducir la pérdida de datos cuando se transportan de un lugar a otro y para comprobar los resultados de diferentes procesos, se preparan totales de control para cada lote de datos.

8. Otros controles : Durante el diseño del sistema de recopilación de datos de entrada, se debe considerar el empleo de dígitos de comprobación para los códigos más importantes, como el número de cuenta del cliente, el número de producto, el número del empleado. La rotulación de archivos de datos es otro punto de control muy importante, esto es como el nombre del archivo, la fecha de creación, la fecha de actualización, el período de expiración.

9. Controles de programación: Se establecen con el objeto de evitar el ingreso de errores a las actividades de procesamiento. Por medio de la programación es posible hacer que la computadora ayude a detectar los errores de entrada y los que pueden producirse al procesar los datos.

10. Identificación : Es posible diseñar varias técnicas de identificación para asegurarse que los datos que se procesan son válidos. Comparando los campos del archivo de transacciones con los archivos maestros, o con tablas de constantes, almacenadas ya sea en el programa mismo o en un dispositivo periférico.

11. Comprobación de secuencia : Las instrucciones del programa comparan el campo de secuencia de cada registro o transacción con el campo de secuencia del registro o transacción que le anteceden, se puede detectar cualquier registro fuera de secuencia, evitándose que el archivo se procese incorrectamente.

12. Otros controles de programación: Los códigos que utilizan dígitos de verificación se pueden generar y validar con los controles de programación. Los totales de control se pueden mantener y tomar para referencia en cada etapa del procesamiento empleando la lógica de programación.

13. Controles del banco de datos: es necesario establecer y observar procedimientos para proteger los bancos de datos y los programas contra la pérdida y destrucción. A veces los archivos y los programas permanecen almacenados en un depósito, en espera de ser procesados, allí es cuando deben tomarse las medidas necesarias para asegurarse que no se dañarán ni se usarán indebidamente.

14. Las precauciones son las siguientes : El lugar de almacenamiento debe estar construido a prueba de incendios. Los factores ambientales se deben controlar adecuadamente. El lugar de almacenamiento debe ser seguro. La empresa puede construir o rentar lugares de almacenamiento fuera del lugar de operación, con el fin de dar protección adicional a los archivos y programas importantes.

15. Controles de salida : Se establecen como una comprobación final de la precisión e integridad de la información procesada. Estos procedimientos son los siguientes: La comunicación de los resultados se debe controlar, para asegurarse que sólo los reciben las personas autorizadas.

16. Los totales de control de salida se deben conciliar con los totales de control de entrada, para asegurarse que no se han perdido ni agregado datos. Una inspección inicial, para detectar los errores más obvios.

17. Todas las formas fundamentales se deben numerar previamente y controlar. El principal punto de control para detectar los errores lo constituye el usuario, se debe establecer un procedimiento para crear un canal de comunicación entre el usuario y el grupo de control, con vistas al reporte sistemático de errores e incongruencias.

18. Control del equipo: Los controles del equipo se instalan con el propósito de detectar las fallas eléctricas y mecánicas que ocurren en la computadora y en los dispositivos periféricos.

19. Revisiones de mantenimiento preventivo. Asegurar el control apropiado y constante de los factores ambientales: calor, humedad, energía; Prevenir el deterioro del rendimiento o la falla de los componentes de la computadora, mediante un sistema en marcha de detección, ajuste y reparación.

20. Controles de Seguridad Todo sistema de información debe contar con ciertas medidas de seguridad, sobre todo los sistemas integrados basados en la computadora que cuentan con dispositivos de comunicación de datos, situados en línea y accesibles a los usuarios de toda la organización. Dichos sistemas permiten el acceso al sistema central de computación a usuarios que no tenían el mismo grado de accesibilidad.

21. Determinados programas y archivos de datos deben estar disponibles sólo para personas autorizadas y especialistas del sistema de información. Es necesario diseñar medidas adicionales de seguridad para asegurarse que únicamente las personas autorizadas tengan acceso a determinados dispositivos, archivos, programas e informes.

22. El grupo de Seguridad En los sistemas de información más grandes y complejos, puede ser necesario que un grupo formado por parte del personal de sistemas, o un grupo independiente de especialistas en cuestiones de seguridad, asuma la responsabilidad de implantar, vigilar y hacer cumplir los diversos procedimientos de seguridad.

23. Dicho grupo será responsable del acceso de los usuarios, del control de dicho acceso, de la seguridad en la transmisión de datos, de la integridad del programa y de la recuperación en caso de siniestro. Los puntos de control de la seguridad se deben evaluar cuando se está diseñando el sistema.

24. El acceso por parte del Usuario: Una forma convencional de autorizar el acceso a los archivos y programas del sistema central de computación, consiste en asignar a cada usuario un número y un código especial. Tanto el número y código del usuario, como la tarjeta suministrada al empleado, sirven de contraseña y clave para obtener acceso a ciertos archivos, programas y otras partes del sistema previamente especificados.

25. Accesos controlados: control en el acceso, ya se trate de un sistema con terminales o de uno que procesa por lotes. El daño pueden provenir de visitantes casuales que sin mala intención meten mano en el sistema, de empleados descontentos, sabotaje, fraude. Se deben tomar ciertas precauciones como la colocación de vigilantes y la implantación de procedimientos de entrada.

26. Plan de recuperación ante desastres Un plan de recuperación ante desastres es requerido por las compañías de seguros. Se identifican las tareas que podrían realizarse mejor y las tareas que no deberían realizarse en absoluto. Los incendios, las explosiones, las inundaciones, los terremotos y otros desastres pueden provocar una falla a los sistemas de información.

27. El objetivo principal de un plan de recuperación es el de mantener funcionando el negocio. Incluye controles necesarios para mantener funcionando por sí mismo al sistema de información basado en computadoras.

28. Componentes del plan de recuperación ante desastres: 1. Plan de prevención. Los analistas preparan un reporte de evaluación y justificación de controles. Este plan detalla cómo protegerlo. 2. Plan de contención. Identifica y describe la forma en que debe reaccionar el personal cuando está ocurriendo un desastre.

29. 3. Plan de recuperación. Detalla el restablecimiento del sistema a su operación normal. 4. Plan de contingencias. Identifica y describe la forma en que la compañía operará y conducirá el negocio mientras se realizan los esfuerzos de recuperación.

30. Determinar las funciones vitales y necesarias para mantener funcionando a la compañía: procesamiento de transacciones y pedidos, cuentas por cobrar, cuentas por pagar, control de inventarios, asignación de precios y facturación. Mantener fuera de las instalaciones copias de estas aplicaciones. Examinar la interdependencia para ver si una falla en un área afecta a otra área.

31. Controles de Entrada Claves de transacciones, para poder introducir transacciones al sistema, asignar una clave específica como identificación. Formas, para la entrada de datos se utilizará un documento fuente o un formato de pantalla. Verificación, los documentos fuente preparados por un empleado pueden ser verificados o corregidos por otro empleado para mejoras su exactitud.

32. Dígito de verificación, se emplea para claves importantes. Etiquetas, contienen datos como el nombre del archivo , la fecha de creación, la fecha de actualización, etc., ayudan a asegurar que se use el archivo correcto, para su procesamiento. Verificación de caracteres y campos, se verifican que los caracteres sean los correctos: numéricos, alfabéticos o alfanuméricos. Los campos se verifican para ver si se llenaron correctamente.

33. Controles de la Base de Datos El alma de las organizaciones está en los archivos y la base de datos del sistema de información. Se debe tener mucho cuidado para asegurar su exactitud y su seguridad. Los siguientes controles proporcionan este seguro: Controles Físicos Control Bibliotecario Controles de concurrencia de la Base de Datos

34. Controles Físicos .Para soportar los desastres se debe contar con una bóveda de almacenamiento fuertemente construída para almacenar los archivos y los documentos que se están utilizando. Los archivos de respaldo, los programas y otros documentos importantes se deberán almacenar en lugares seguros fuera de las instalaciones. Los incendios, inundaciones, robos, empleados desconformes, alborotos, alimañas, representan peligros para los registros vitales de una organización.

35. Control Bibliotecario. Todos los archivos se deberán almacenar en la biblioteca cuando no se están utilizado. El bibliotecario debe levantar un inventario de todos los archivos y documentos, haciendo una lista de las personas a quienes se les asignan, su estado y la fecha y hora en que deben ser devuelto. Todos los archivos deben contener etiquetas externas para su identificación.

36. Controles de concurrencia de la Base de Datos. Cuando se comparten datos entre usuarios, se deben establecer controles de concurrencia para asegurar la consistencia en la actualización y lectura de la base de datos. Una solución consiste en impedir el acceso a la base de datos a un usuario o proceso mientras está siendo accesada por otro usuario.

37. Controles De Salida Los controles de salida se instalan para asegurar la exactitud, integridad, oportunidad, y distribución correcta de la salida, ya sea que se dé en pantalla, en forma impresa o en medios magnéticos.

38. Los siguientes procedimientos de control se refieren a la salida: La salida deberá dirigirse inmediatamente a un área controlada solamente por personas autorizadas. Los totales de control de salida deberán compararse con lo totales de control de entrada para asegurar que ningún dato haya sido modificado, perdido o agregado durante el procesamiento o la transmisión.

39. Cualquier salida que no deba ser vista por el personal del centro de cómputo deberá ser generada por un dispositivo de salida en un lugar seguro alejado de la sala de computación. A pesar de todas las precauciones tomadas, se presentarán algunos errores. El punto de control principal para la detección de dichos errores es el usuario. Se debe establecer un canal entre el usuario y el grupo de control para el reporte sistemático de la ocurrencia de errores o de incongruencias.

40. Controles de Operación de la computadora Todo el personal del centro de cómputo deben tener una supervisión directa. Los operadores deberán firmar la bitácora de operación de la computadora al inicio y al final de cada turno. El supervisor deberá solicitar reportes de todas las operaciones realizadas dentro de su área durante el día y el auditor deberá revisar los reportes periódicamente.

41. Se debe tener un control sobre los operadores cuando estos tengan accesos a discos, programas o documentos importantes. El acceso al área de computadoras deberá estar restringido, con el fin de tener un control más exacto de las operaciones realizadas y las personas que las realizan. Se debe dar mantenimiento periódico al equipo de cómputo así como a las instalaciones.

42. Principales puntos de vulnerabilidad Los principales puntos de vulnerabilidad considerados por las empresas son “los accesos no autorizados”, seguido por el “software y hardware de comunicación”. De allí, se desprende la preocupación de los profesionales de Sistemas y Tecnología de la Información, en cuanto a estos aspectos que pueden poner en riesgo información vital para el negocio.

43. En tercer lugar, se encuentra “la confiabilidad, ética y motivación del personal”, es un tema que cada vez cobra mayor fuerza en las empresas: la honestidad de los empleados es un valor que debe predominar en las empresas.

45. Las principales prácticas de seguridad para las empresas están constituidas por el uso de firewalls, software antivirus y la realización de respaldos. Alrededor del 82% de las empresas encuestadas, consideran efectivas estas actividades de seguridad dentro de un modelo integral de gestión de riesgos. Además, consideran muy importante, el control y monitoreo de acceso a las aplicaciones.

47. Prioridades tácticas y estratégicas Como prioridad táctica o acciones a tomar, las empresas consideran la implantación de herramientas de monitoreo, la seguridad de accesos remotos y la seguridad en redes, como los elementos principales a ser considerados.

48. Las facilidades de telecomunicaciones actuales, proporcionar las condiciones necesarias para que todos los usuarios trabajen de forma productiva es por ello que muchos líderes de la Función de Seguridad de Información, sienten que el acceso a la red se vuelve poco seguro.

49. Empleados, trabajadores remotos, vendedores estratégicos, trabajadores temporales y socios de negocio, necesitan acceso a los recursos corporativos disponibles desde la red, la misma que incluyen resultados financieros y bases de datos de clientes, razón por la cual, las acciones a este respecto deben tener una alta prioridad.

50. En resumen: La Seguridad es un elemento importante de cualquier servicio y sistema informático: aunque a menudo es postergada, basta tan sólo una brecha en la seguridad para crear graves daños. Por esto, la Seguridad de los Sistemas de Información es cada vez más importante y no podrá ser ignorada, especialmente por el aumento de la exposición al riesgo que implica la mayor integración y globalización de los sistemas y la tecnología de información.

51. A todo el personal se le debe proporcionar adiestramiento, información, y advertencias para que puedan proteger y manejar apropiadamente los recursos informáticos: debe hacerse hincapié en que la seguridad informática es una actividad tan importante como lo es la contabilidad, con el objetivo de mantener la continuidad de los procesos organizacionales que respaldan los sistemas y la tecnología de información.

52. La integridad, confidencialidad, confiabilidad y disponibilidad de la información, sólo puede ser provista adoptando los mecanismos adecuados de seguridad. El aumento de la competencia incrementa la necesidad de establecer políticas y procedimientos de seguridad efectivas que disminuyan los riesgos que se produzca un escape, alteración o destrucción de datos que sean de vital importancia para la organización.

53. Se hace necesario un aprovechamiento adecuado de todos los recursos de la empresa, lo que lleva a una búsqueda del alineamiento entre la organización, los sistemas y el negocio. Esto obliga a que todos los directivos (tecnológicos y no tecnológicos) tomen conciencia de los riesgos y vulnerabilidades derivados de la tecnología que pueden afectar a su negocio, invirtiendo en todos aquellos elementos que garanticen la continuidad del mismo.